ユーザープリンシパル名をサービスアカウントに追加する
このセクションでは、ユーザープリンシパル名(UPN)をサービスアカウントに追加する方法について説明します。AD FS がサービスアカウントを使用して実行している場合、ここの指示に従う必要があります。[サービス]ツール([スタート」 メニューを開いてサービスを入力)を使用して、AD FS がサービスアカウントを使用しているかどうかをチェックします。Active Directory フェデレーションサービスのログオン名
が「$」(ドルマーク)で終わる場合、これは AD FS がサービスアカウントを使用して実行していることを示しています。
 |
発行された証明書のエンドエンティティを特定するためには UPN が必要ですが、デフォルトではサービスアカウントに UPN がないため、申請エージェントの証明書をサービスアカウントに発行する前に、この情報を入力する必要があります。
UPN をサービスアカウントへ追加するには、次の操作を実行します。
[Windows 管理ツール]から[Active Directory Users and Computers]を開きます。
[表示]をクリックして、オプションを選択して[Advanced Features]を有効にします。これにより、サービスアカウントの属性を編集できるようになります。
左側のツリーウィンドウで、サービスアカウントが存在するドメインを折り畳んで、[Managed Service Accounts]を選択します。AD FS 用に設定されたサービスアカウントを右クリックし、[プロパティ]を選択します。
[プロパティ]ダイアログで、[Attribute Editor]タブを選択し、スクロールダウンして[userPrincipalName]を選択します。[編集]をクリックします。
[String Attribute Editor]ダイアログで、サービスアカウントの [userPrincipalName]を入力します。<cn of the Service Account>$@<domain name> のフォーマットでは UPN が必要です。この例では、サービスアカウントの cn(または表示される名前)は「gmsa_adfs」で、ドメインは「whfb.pkidev.bbtest.net」です。この例の結果の UPN は「gmsa_adfs$@whfb.pkidev.bbest.net」です。
[OK]をを 2 回クリックして変更を適用し、ダイアログを閉じます。